本文目录一览:
如何拆穿木马伪装,希望能告诉方法。
拒绝网络不速之客入侵拆穿木马伪装七计
木马程序一般分为客户端程序和服务端程序两部分,客户端程序用于远程控制计算机。而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时,第一步就需要将服务端程序植入到远程计算机。
为了能够让用户执行木马程序,黑客常常通过各种方式对它进行伪装,这种伪装就是我们说的木马画皮。自木马诞生以来,黑客们为了木马的隐蔽性,各种伪装伎俩可谓层出不穷,让人防不胜防。那么就让我们一起来练就一双火眼金睛,拆穿木马画皮伎俩,将这些不速之客拒之门外。
画皮第一计:图标伪装
伪装等级:★★★★
在Windows系统中,每种文件类型使用不同的图标进行表示,用户通过一种图标就可以轻易地判断出这是那种文件类型。黑客为了迷惑用户,将木马服务端程序的图标换成一些常见的文件类型的图标,这样当用户运行以后,噩梦也就开始了。
实例:黑洞2001服务端的安装程序使用了文件夹的图标,当你隐藏了已知文件类型的扩展名时,这个文件看上去就是一个文件夹,当你好奇地点击它,打算进去看看有什么文件的时候,潘多拉的盒子就打开了。
识别方法
平时我们在运行一个文件的时候,常常习惯于利用鼠标双击运行它,这样Windows系统首先会判断文件类型打开其关联程序,然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程序。其实,我们只需要换一种方式,就可以避免。比如我们看到一个文本文件的文件后,并不要双击打开它,而是首先打开记事本程序,然后通过“文件”菜单中的“打开”命令来打开这个文件,如果显示出的是乱码,那么这个“文本文件”就肯定有问题。安全专家点评:更换图标是最基本的木马服务端的伪装方式,但是只使用这一种方式是远远不够的。黑客会将它和文件更名、文件捆绑等一系列的伪装方式进行组合,这样才能骗得用户运行。所以不要随意执行别人发来的文件,那怕他是你的朋友也要谨慎一些。
画皮第二计:改名换姓
伪装等级:★★★
图标修改往往和文件改名是一起进行的,黑客往往将文件的名称取得非常的诱人,比如“漂亮的妹妹”之类,骗用户去运行它。当木马服务端程序运行以后,服务端程序也会将自己的进程设置为和正常的系统进程相似的名称,从而使用户不容易产生怀疑,被其麻痹。
实例:如图所示,这是笔者制作的木马服务端安装程序,它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话,笔者的木马也就在你的电脑中安营扎寨了。
识别方法
首先要明确,不论木马如何伪装自己的图标和文件名,它的后缀部分必须是一个可执行的扩展名,比如EXE、COM、BAT等,否则木马不会运行自己的代码,在Windows系统的默认设置下会隐藏已知文件的扩展名,如果木马把自己的文件名改成了“XXX.bmp.exe”这个样子,扩展名“.exe”隐藏后,木马的文件名就会变成“XXX.bmp”,再给这个文件配一个图像文件的图标,这个文件就会变成“一只披着羊皮的狼”。
在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项,具体的操作为:打开资源管理器,在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框,去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可撕掉这部分木马的画皮。
安全专家点评:这种方式在利用P2P程序进行文件传输的时候常常用到,而且通常是和图标伪装一起使用,让用户防不胜防。所以无论从那里得到的文件,在使用以前都通过杀毒软件对它进行一番查杀最好。
画皮第三计:文件捆绑
伪装等级:★★★★★
文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起,达到欺骗对方从而运行捆绑的木马程序。捆绑后的文件很有迷惑性,而且加上木马一般在后台运行,用户点击后不会出现什么异状,往往会在不知不觉中中招。
画皮第四计:出错显示
伪装等级:★★★
绝大多数木马服务端安装时不会出现任何图形界面,因此,如果一个程序双击后没有任何反应,有经验的网民就会怀疑它是木马。为了消除这部分人心中的疑虑,黑客会让木马在被运行时弹出一个错误提示对话框。
实例:如今的木马程序,很多都有“安装完毕后显示提示”的选项,例如木马HDSPY,用户在配置服务端程序后,在“提示内容”输入框中输入需要的提示内容,例如“文件已损坏,无法打开”等。当用户运行服务端程序后,就会弹出我们设置的内容。
识别方法
如果该文件是木马程序,用户在看到了出错信息的时候往往已经中招。所以用户看到错误信息的时候要有所警觉,这个时候就要通过扫描系统端口判断自己是否中了木马。安全专家点评:这种方法虽然在早期可以骗得用户,但随着人们安全意识的提高,往往给人一种“画蛇添足”的感觉。
画皮第五计:自我销毁
伪装等级:★★★
大多数木马本身只有一个文件,它的安装程序其实就是木马服务端程序,当你双击了一个木马的安装程序后,它会把自己拷贝到系统目录或其它目录,因此,一些有经验的网民如果怀疑一个程序是木马,它会根据安装程序的大小在硬盘上搜索木马文件。为了对付这部分网民,一些木马设计了自我销毁的功能,当它把自己拷贝到系统目录或其它目录后,它会把自己删除,让你无据可查。
识别方法
对于这种方法就需要对系统的注册表进行即时监测和使用木马利用杀毒软件对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。
安全专家点评:利用这种方式进行木马种植的,主要是利用了网页木马和远程溢出等方式。因为黑客利用网页木马或远程溢出,都是在用户不知情的情况下,将木马植入远程系统的。既然远程用户不知情,利用木马的自我销毁功能就可以做到“来无影去无踪”。
画皮第六计:网页“嫁衣”
伪装等级:★★★★
网页木马是黑客成功利用了系统以及一些程序的漏洞,诱骗用户浏览某个特殊的网页,在用户浏览的时候,网页木马就会成功地利用系统的漏洞,从而将设置的木马服务端程序“悄悄地”安装到远程系统中。
实例:制作网页木马有很多现成的工具,动鲨网页木马生成器就是很优秀的一款,该木马生成器利用了微软的IEHelpActiveX控件漏洞绕过本地安全域。
画皮第七计:邮件附件
伪装等级:★★
通过电子邮件的附件,进行简单的文件传输,本来是为了方便用户。可黑客正是看中了这一点,通过伪造一些著名的企业或用户好友的邮件来欺骗用户,通过邮件附件来传播木马服务端程序。
实例:黑客在邮件附件中加入木马后,一般会使用比较有迷惑性的语句来骗取用户的信任。比如“这是Windows最新的安全补丁程序,请运行后重新启动系统。”
识别方法
不要立即运行邮件附件,而是将它“另存为”到一个文件夹,然后对文件夹进行查杀检测,发现问题立即删除。
安全专家点评:利用电子邮件的附件,是最常见的木马和病毒的传播方法。一般没有经验的用户会上当中招。但是因为很多邮件系统自带杀毒系统,所以现在已经不是很流行了。
原文地址:
欢迎大家光临我的博客。
一直翱翔的海燕/blog
如何对木马,病毒进行加壳,有什么代码或者软件可以用?
第一步
在“运行”对话框中输入IExpress就可启动程序
在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击“下一步”按钮。[!--empirenews.page--]
第二步
接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。
因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。
第三步
在“确认提示”(Confirmation prompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(No prompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Display a license),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。
第四步
现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。
随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。
第五步
接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择“No message”。
第六步
上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“No reboot”;如果所采用的木马用于开启终端服务,那么可选择“Always reboot”,同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--]
在保存刚才所做的设置后点击“下一步”按钮,即可开始制作木马自解压程序。
整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。
现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。
不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑木马,岂不快哉。
木马病毒的伪装方式
鉴于木马病毒的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
木马程序有哪些伪装方式?
修改图标
当在E-MAIL的附件中看到文本图标时,是否会认为这是个文本文件呢?其实这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的。
捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024—65535之间任选一个端口作为木马端口,这样就给判断所感染木马类型带来了麻烦。
自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
如何把木马伪装成图片?
简单的直接用软件,搜索:黑防捆绑器,就可以把木马和图片捆绑在一起,使用教程可以搜索、有视频教程的,我手机不方便打过多的字,不了解可以再问